0
我目前正在尝试在Java中为使用xml/json有效载荷的Web应用程序实施威胁防护机制。如何检测恶意的XML/JSON有效载荷?
我想知道,有没有什么办法/库检测,XML/JSON元素
- 长度
- 深度XML/JSON文件的属性
- 属性的
- 长度每个元素的计数
除此之外,我必须在不解析文档的情况下执行这些操作,因为如果我们解析文档t,恶意的xml/json文档可能会攻击解析器。提前致谢。
A
回答
0
使用XML库的Java应用程序特别容易受到XXE的影响,因为大多数Java XML解析器的默认设置是启用了XXE。要安全地使用这些解析器,必须在使用的解析器中显式禁用XXE。以下链接可能会对您有所帮助。
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#Java
相关问题
- 1. 什么意思是10B有效载荷?
- 2. Laravel:有效载荷无效
- 3. 检测恶意网址目的地?
- 4. 的部分有效载荷
- 5. 如何重定向HTTP有效载荷?
- 6. 恶意请求检测/验证请求
- 7. 无效的有效载荷选择
- 8. JSON有效载荷webwrite
- 9. 获取从有效载荷
- 10. 接收有效载荷
- 11. 替代Astoria有效载荷?
- 12. Python脚本来检测恶意软件网站或程序来检测网站上的恶意软件?
- 13. 如何编写恶意软件检测软件?
- 14. 如何骡子压缩/解压缩的有效载荷,回到原来的有效载荷
- 15. Laravel DecryptException - 有效载荷是无效
- 16. '有效载荷文件不存在'这是什么意思?
- 17. appengine任务有效载荷有多大?
- 18. Lucene中的有效载荷性能
- 19. Lucene的3.5自定义有效载荷
- 20. 修改Mule中的有效载荷
- 21. 的Java jnetpcap IndexOutOfBoundsEcxeption有效载荷
- 22. 获取帖子的有效载荷
- 23. 有效载荷的含义-linq
- 24. JSON有效载荷建设的Android
- 25. 检索使用JSON有效载荷的Android
- 26. 我如何获取 - 嘲笑有效载荷的发布请求
- 27. 杰西克如何与巨大的有效载荷工作?
- 28. 如何用python生成缓冲区溢出的有效载荷?
- 29. ,你如何提取最终的有效载荷?
- 30. 如何将路径传递到包的有效载荷到msi?
如果没有解析,您将无法获得任何这些指标。所以你实际上在寻找的是一个解析器,它强加了用户指定的限制。我不认为这样的解析器存在,但是当然也有可以修改的开源解析器。 –
@MichaelKay非常感谢您的见解Michael。我会研究一些图书馆。 –